Cách đánh giá hiệu quả của việc điều chỉnh NGFW
Nhiệm vụ phổ biến nhất là kiểm tra tường lửa của bạn được cấu hình tốt như thế nào. Để làm điều này, có các tiện ích và dịch vụ miễn phí từ các công ty liên quan đến NGFW.
Ví dụ: bên dưới, bạn có thể thấy rằng Palo Alto Networks có khả năng trực tiếp từ chạy phân tích thống kê tường lửa - báo cáo SLR hoặc phân tích tuân thủ thực hành tốt nhất - báo cáo BPA. Đây là những tiện ích trực tuyến miễn phí mà bạn có thể sử dụng mà không cần cài đặt bất cứ thứ gì.
NỘI DUNG
Expedition (Công cụ di chuyển)
Một tùy chọn phức tạp hơn để kiểm tra cài đặt của bạn là tải xuống một tiện ích miễn phí (Công cụ di chuyển cũ). Nó được tải xuống dưới dạng Công cụ ảo cho VMware, không yêu cầu cài đặt với nó - bạn cần tải xuống hình ảnh và triển khai nó dưới trình ảo hóa VMware, chạy nó và chuyển đến giao diện web. Tiện ích này yêu cầu một câu chuyện riêng, chỉ khóa học kéo dài 5 ngày, hiện có rất nhiều chức năng ở đó, bao gồm Học máy và di chuyển các cấu hình chính sách, NAT và đối tượng khác nhau cho các nhà sản xuất Tường lửa khác nhau. Về Machine Learning, tôi sẽ viết thêm ở phần sau của văn bản.
Trình tối ưu hóa chính sách
Và tùy chọn thuận tiện nhất (IMHO), mà hôm nay tôi sẽ nói chi tiết hơn, là trình tối ưu hóa chính sách được tích hợp trong chính giao diện Palo Alto Networks. Để chứng minh điều đó, tôi đã cài đặt tường lửa trong nhà và viết một quy tắc đơn giản: cho phép bất kỳ đối với bất kỳ. Về nguyên tắc, đôi khi tôi thấy các quy tắc như vậy ngay cả trong các mạng công ty. Đương nhiên, tôi đã kích hoạt tất cả các cấu hình bảo mật NGFW, như bạn có thể thấy trong ảnh chụp màn hình:
Ảnh chụp màn hình bên dưới hiển thị một ví dụ về tường lửa chưa được định cấu hình tại nhà của tôi, trong đó hầu hết tất cả các kết nối đều tuân theo quy tắc cuối cùng: AllowAll, như có thể thấy từ số liệu thống kê trong cột Lượt truy cập.
Không tin tưởng
Có một cách tiếp cận để bảo mật được gọi là . Điều này có nghĩa là gì: chúng ta phải cho phép mọi người trong mạng kết nối chính xác mà họ cần và cấm mọi thứ khác. Đó là, chúng ta cần thêm các quy tắc rõ ràng cho ứng dụng, người dùng, danh mục URL, loại tệp; bật tất cả IPS và chữ ký chống vi-rút, bật hộp cát, bảo vệ DNS, sử dụng IoC từ cơ sở dữ liệu Threat Intelligence có sẵn. Nói chung, có khá nhiều nhiệm vụ khi thiết lập tường lửa.
Nhân tiện, bộ cài đặt bắt buộc tối thiểu cho NGFW của Palo Alto Networks được mô tả trong một trong các tài liệu SANS: Tôi khuyên bạn nên bắt đầu với nó. Và tất nhiên, có một tập hợp các phương pháp hay nhất để thiết lập tường lửa từ nhà sản xuất: .
Vì vậy, tôi đã có một tường lửa ở nhà trong một tuần. Hãy xem lưu lượng truy cập trên mạng của tôi là bao nhiêu:
Nếu sắp xếp theo số phiên thì phần lớn được tạo bởi bittorent, sau đó đến SSL, rồi QUIC. Đây là số liệu thống kê cho cả lưu lượng vào và ra: có rất nhiều lượt quét bên ngoài bộ định tuyến của tôi. Có 150 ứng dụng khác nhau trong mạng của tôi.
Vì vậy, tất cả đã bị bỏ qua bởi một quy tắc. Bây giờ hãy xem Trình tối ưu hóa chính sách nói gì về điều này. Nếu bạn đã xem ảnh chụp màn hình của giao diện với các quy tắc bảo mật ở trên, thì bạn sẽ thấy một cửa sổ nhỏ ở dưới cùng bên trái, gợi ý cho tôi rằng có các quy tắc có thể được tối ưu hóa. Hãy bấm vào đó.
Trình tối ưu hóa chính sách hiển thị gì:
- Chính sách nào hoàn toàn không được sử dụng, 30 ngày, 90 ngày. Điều này giúp đưa ra quyết định loại bỏ chúng hoàn toàn.
- Ứng dụng nào đã được chỉ định trong chính sách nhưng không tìm thấy ứng dụng nào như vậy trong lưu lượng truy cập. Điều này cho phép bạn loại bỏ các ứng dụng không cần thiết trong các quy tắc cho phép.
- Chính sách nào cho phép mọi thứ, nhưng thực sự có những ứng dụng sẽ rất tuyệt nếu chỉ ra rõ ràng theo phương pháp Zero Trust.
Bấm vào Không sử dụng.
Để cho thấy nó hoạt động như thế nào, tôi đã thêm một số quy tắc và cho đến nay chúng vẫn chưa bỏ sót một gói tin nào. Đây là danh sách của họ:
Có lẽ, theo thời gian, lưu lượng truy cập sẽ đi qua đó và sau đó chúng sẽ biến mất khỏi danh sách này. Và nếu chúng nằm trong danh sách này trong 90 ngày, thì bạn có thể quyết định xóa các quy tắc này. Rốt cuộc, mỗi quy tắc đều tạo cơ hội cho tin tặc.
Có một vấn đề thực sự với cấu hình tường lửa: một nhân viên mới đến, xem xét các quy tắc tường lửa, nếu họ không có ý kiến gì và không biết tại sao quy tắc này được tạo, nó có thực sự cần thiết không, nó có thể bị xóa không: đột nhiên người đó vào kỳ nghỉ và trong 30 ngày, lưu lượng truy cập sẽ lại đi từ dịch vụ mà nó cần. Và chỉ chức năng này giúp anh ta đưa ra quyết định - không ai sử dụng nó - xóa nó!
Nhấp vào Ứng dụng không sử dụng.
Chúng tôi nhấp vào Ứng dụng không sử dụng trong trình tối ưu hóa và xem thông tin thú vị đó sẽ mở ra trong cửa sổ chính.
Chúng tôi thấy rằng có ba quy tắc, trong đó số lượng ứng dụng được phép và số lượng ứng dụng thực sự vượt qua quy tắc này là khác nhau.
Chúng ta có thể nhấp và xem danh sách các ứng dụng này và so sánh các danh sách này.
Ví dụ: hãy nhấp vào nút So sánh cho quy tắc Max.
Ở đây bạn có thể thấy rằng các ứng dụng facebook, instagram, telegram, vkontakte đã được cho phép. Nhưng trên thực tế, lưu lượng truy cập chỉ đến một phần của các ứng dụng phụ. Ở đây bạn cần hiểu rằng ứng dụng facebook chứa một số ứng dụng phụ.
Toàn bộ danh sách các ứng dụng NGFW có thể được nhìn thấy trên cổng thông tin và trong chính giao diện tường lửa, tại mục Objects->Applications và trong phần tìm kiếm, gõ tên ứng dụng: facebook, bạn sẽ nhận được kết quả như sau:
Vì vậy, NGFW đã thấy một số ứng dụng phụ này, nhưng không phải một số. Trên thực tế, bạn có thể tắt và bật riêng các chức năng phụ khác nhau của facebook. Ví dụ: cho phép bạn xem tin nhắn nhưng cấm trò chuyện hoặc truyền tệp. Theo đó, Trình tối ưu hóa chính sách nói về điều này và bạn có thể đưa ra quyết định: không cho phép tất cả các ứng dụng của Facebook mà chỉ cho phép những ứng dụng chính.
Vì vậy, chúng tôi nhận ra rằng các danh sách là khác nhau. Bạn có thể đảm bảo rằng các quy tắc chỉ cho phép những ứng dụng thực sự chuyển vùng mạng. Để làm điều này, bạn nhấp vào nút MatchUsage. Hóa ra như thế này:
Và bạn cũng có thể thêm các ứng dụng mà bạn cho là cần thiết - nút Add ở bên trái cửa sổ:
Và sau đó quy tắc này có thể được áp dụng và thử nghiệm. Chúc mừng!
Nhấp vào Không có ứng dụng nào được chỉ định.
Trong trường hợp này, một cửa sổ bảo mật quan trọng sẽ mở ra.
Rất có thể có rất nhiều quy tắc như vậy trong đó ứng dụng cấp độ L7 không được chỉ định rõ ràng trong mạng của bạn. Và trong mạng của tôi có một quy tắc như vậy - hãy để tôi nhắc bạn rằng tôi đã tạo quy tắc đó trong quá trình thiết lập ban đầu, đặc biệt là để hiển thị cách thức hoạt động của Trình tối ưu hóa chính sách.
Hình ảnh cho thấy quy tắc AllowAll đã bỏ lỡ 9 gigabyte lưu lượng truy cập trong khoảng thời gian từ ngày 17 tháng 220 đến ngày 150 tháng 200, tức là có tổng cộng 300 ứng dụng khác nhau trong mạng của tôi. Và điều này vẫn chưa đủ. Thông thường, một mạng công ty cỡ trung bình có XNUMX-XNUMX ứng dụng khác nhau.
Vì vậy, một quy tắc bỏ lỡ tới 150 ứng dụng. Điều này thường có nghĩa là tường lửa được định cấu hình không chính xác, vì thông thường 1-10 ứng dụng cho các mục đích khác nhau bị bỏ qua trong một quy tắc. Hãy xem những ứng dụng này là gì: nhấp vào nút So sánh:
Điều tuyệt vời nhất đối với quản trị viên trong tính năng Trình tối ưu hóa chính sách là nút Sử dụng phù hợp - bạn có thể tạo quy tắc bằng một cú nhấp chuột, nơi bạn sẽ nhập tất cả 150 ứng dụng vào quy tắc. Làm thủ công sẽ mất quá nhiều thời gian. Số lượng tác vụ của quản trị viên, ngay cả trên mạng gồm 10 thiết bị của tôi, là rất lớn.
Tôi có 150 ứng dụng khác nhau đang chạy ở nhà, truyền tải hàng gigabyte lưu lượng! Và bạn có bao nhiêu?
Nhưng điều gì xảy ra trong một mạng gồm 100 thiết bị hoặc 1000 hoặc 10000? Tôi đã thấy tường lửa với 8000 quy tắc và tôi rất vui vì giờ đây các quản trị viên đã có các công cụ tự động hóa tiện lợi như vậy.
Bạn sẽ không cần một số ứng dụng mà mô-đun phân tích ứng dụng L7 trong NGFW đã thấy và hiển thị trên mạng, vì vậy bạn chỉ cần xóa chúng khỏi danh sách quy tắc cho phép hoặc sao chép quy tắc bằng nút Sao chép (trong giao diện chính) và cho phép trong một quy tắc ứng dụng và trong Chặn các ứng dụng khác như thể chúng chắc chắn không cần thiết trên mạng của bạn. Các ứng dụng như vậy thường trở thành bittorent, steam, ultrasurf, tor, các đường hầm ẩn như tcp-over-dns và các ứng dụng khác.
Chà, nhấp vào quy tắc khác - những gì bạn có thể thấy ở đó:
Có, có những ứng dụng dành riêng cho phát đa hướng. Chúng tôi phải cho phép chúng để xem video qua mạng hoạt động. Nhấp vào Sử dụng phù hợp. Tuyệt vời! Cảm ơn Trình tối ưu hóa chính sách.
Còn về Máy học thì sao?
Bây giờ nó là thời trang để nói về tự động hóa. Những gì tôi mô tả đã xuất hiện - nó giúp ích rất nhiều. Có một khả năng khác mà tôi phải đề cập đến. Đây là chức năng Machine Learning được tích hợp trong tiện ích Expedition đã đề cập ở trên. Trong tiện ích này, có thể chuyển các quy tắc từ tường lửa cũ của bạn từ nhà sản xuất khác. Và cũng có khả năng phân tích nhật ký lưu lượng truy cập Palo Alto Networks hiện có và đề xuất quy tắc nào cần viết. Điều này tương tự như chức năng của Trình tối ưu hóa chính sách, nhưng trong Expedition, chức năng này thậm chí còn nâng cao hơn và bạn được cung cấp một danh sách các quy tắc được tạo sẵn - bạn chỉ cần phê duyệt chúng.
Để kiểm tra chức năng này, có một công việc trong phòng thí nghiệm - chúng tôi gọi đó là chạy thử. Thử nghiệm này có thể được thực hiện bằng cách truy cập tường lửa ảo mà nhân viên văn phòng Palo Alto Networks Moscow sẽ khởi chạy theo yêu cầu của bạn.
Yêu cầu có thể được gửi đến [email được bảo vệ] và trong yêu cầu viết: "Tôi muốn tạo UTD cho Quá trình di chuyển."
Trên thực tế, có một số tùy chọn cho phòng thí nghiệm được gọi là Lái thử hợp nhất (UTD) và tất cả chúng đều sau khi yêu cầu.
Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. , xin vui lòng.
Bạn có muốn ai đó giúp bạn tối ưu hóa các chính sách tường lửa của mình không?
-
vâng
-
Không
-
tôi sẽ tự làm mọi thứ
Chưa có ai bỏ phiếu. Không có phiếu trắng.
Nguồn: www.habr.com